查看原文
其他

Adobe 修复Commerce 和 Magento 平台中的又一个严重RCE

Ravie Lakshmanan 代码卫士 2023-06-30

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士


本周四,Adobe 更新安全公告,修复了影响 Adobe Commerce 和 Magento Open Source 平台的又一枚已遭利用的新0day (CVE-2022-24087),可用于执行任意代码。


和前不久修复的另外一个已遭0day(CVE-2022-24086)一样,CVE-2022-24087 的CVSS评分为9.8,和可导致恶意代码执行的“输入验证不当”bug 有关。该公司在安全公告中指出,“我们发现需要对 CVE-2022-24086增加更多的安全防护措施,并发布了更新(CVE-2022-24087)。Adobe 未发现在野利用该更新 (CVE-2022-24087) 中解决的任何 exploit。”

和之前一样,Adobe Commerce 和 Magento Open Source 版本 2.4.3-p1 和更早版本以及 2.3.7-p2和更早版本受CVE-2022-24087漏洞影响,不过值得注意的是2.3.0和2.3.3版本不受影响。

与Eboda一起发现该新漏洞的研究员 Blaklis 指出,“已为 Magento 2 发布新补丁,以缓解预认证远程代码执行。如果只是打上第一个补丁,则仍然不够安全。请再次更新!”

网络安全公司 Positive Technologies 披露称,公司研究员能够成功创建 CVE-2022-24086 的可靠 PoC,以未认证用户身份获得远程代码执行权限,因此用户应尽快应用修复方案以阻止可能的利用。








推荐阅读
十多年前的 Adobe ColdFusion 漏洞被用于勒索攻击
Adobe 修复严重的 Photoshop 缺陷
黑客在野利用 Adobe Reader 0day 漏洞
Adobe 紧急修复严重的 CodeFusion 漏洞
Adobe 再次发布带外更新,修复影响10款产品的漏洞




原文链接

https://thehackernews.com/2022/02/another-critical-rce-discovered-in.html


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存